0

这个问题在我的工作中出现过几次,我希望得到一些社区的支持。

我们正在开发单页 WebApp,但要求来自我们服务 API 的数据是安全的,以防止数据被窥探。我们还试图解决我们的 SPA 托管位置的 prod 环境细节。一种选择是使用像 Amazon 的 S3 之类的东西,它不支持 SSL(据我所知)。

有一个小组认为整个网站都需要通过 SSL 托管。但是,据我了解,SSL 只会保护数据的传输。所以我要说明的一点是,托管来自 HTTPS 站点的服务和来自非基于 SSL 的 URL 的客户端代码将与托管来自 SSL 站点的所有内容一样安全。

谁能为我澄清一下?

提前致谢。

4

1 回答 1

1

是的,SSL 只是对数据的传输进行加密,并且不对任何客户端代码上的运行时环境提供任何类型的保护。

现在,通常认为通过 SSL 托管所有内容是最佳实践,原因如下:

  1. 如果部分来自 SSL 而部分不是,则用户可以收到警告,表明站点正在使用不受信任的来源传输数据。
  2. 任何 cookie 将在请求非 SSL 文件时以明文形式发送,并且可能包含应保密的信息。
于 2013-08-19T17:54:54.317 回答